Modello del rischio di revisione

Come funziona

Il rischio di revisione è il prodotto di tre componenti. Il rischio intrinseco misura la probabilità che un errore esista nelle asserzioni a prescindere dai controlli; il rischio di controllo misura la probabilità che il sistema di controlli interni della società non lo rilevi; il rischio di rilevamento misura la probabilità che le procedure del revisore non lo rilevino. Il primo e il secondo sono dati dalla società, il terzo lo gestisce chi firma.

Sul campo, si valuta il rischio intrinseco e il rischio di controllo per ogni ciclo o asserzione, e poi si determina il livello di rischio di rilevamento accettabile. Se il rischio intrinseco è elevato e il rischio di controllo è elevato, il rischio di rilevamento accettabile sarà basso, il che richiede test estesi affinché il rischio di revisione complessivo sia accettabilmente basso. Se entrambi sono bassi, si accetta un rischio di rilevamento più alto e i test sono più contenuti.

L'ISA Italia 200.A56 lascia libera la scelta del linguaggio. Si può applicare il modello qualitativamente (alto/medio/basso con narrativa) o quantitativamente (percentuali esplicite). Per noi, una valutazione qualitativa è preferibile a una percentuale numerica, perché la falsa precisione di un 7,5% genera più rilievi CONSOB di una motivazione narrativa solida: l'ispettore ti chiede da dove arriva il 7,5%, e nel 90% dei casi non c'è una risposta che regga. Documentiamo il ragionamento.

Esiste un disaccordo legittimo fra studi sulla questione. Il Partner A applica il modello quantitativamente: percentuali esplicite per rischio intrinseco e di controllo, calcolo aritmetico del rischio di rilevamento. Il vantaggio è la tracciabilità: l'ispettore vede subito i numeri. Il Partner B applica il modello qualitativamente: alto/medio/basso, con una narrazione che spiega come si è arrivati alla calibrazione del campione. Il vantaggio è l'onestà sul giudizio sottostante (che è qualitativo per natura) e l'assenza di precisione spuria. Entrambi gli approcci sono difendibili, purché si documenti la logica.

Esempio pratico: Mastuzzi Costruzioni S.r.l.

Cliente: Società costruttrice italiana, esercizio 2024, ricavi EUR 38 milioni, rendiconti in IFRS.

Passo 1: Valutazione del rischio intrinseco

Si identifica il ciclo "Ricavi e crediti" come ad alto rischio intrinseco. La clientela è composta da tre committenti pubblici (comuni della regione Veneto) con cicli di pagamento da 90 a 120 giorni. Concentrazione e tempi lunghi generano rischi di completezza e valutazione. Il rischio intrinseco viene valutato come elevato.

Nota di documentazione: nel memorandum di pianificazione, il revisore documenta: "Ciclo Ricavi e crediti: rischio intrinseco ELEVATO. Motivazione: tre principali committenti pubblici, cicli di pagamento estesi (90-120 gg), concentrazione di crediti > 60% del totale crediti. Il risultato atteso è elevata pressione di esecuzione sulla completa e puntuale fatturazione."

Passo 2: Valutazione del rischio di controllo

Si verificano l'ambiente di controllo e i controlli specifici sul ciclo ricavi. La società ha un gestionale SAP con accessi controllati e riconciliazioni mensili tra registro fatture e mastro crediti. Manca però una procedura formale di analisi degli importi in sospeso oltre i 60 giorni prima della chiusura. Il rischio di controllo è valutato come medio: i controlli ci sono, la procedura di follow-up su crediti scaduti no.

Nota di documentazione: nel documento di valutazione dei rischi, il revisore scrive: "Rischio di controllo MEDIO. Controlli presenti: accessi SAP controllati, riconciliazioni mensili. Gap: assenza di procedura formale di follow-up crediti oltre 60 gg. Il rischio è mitigato in parte dall'accesso controllato, non completamente dalle procedure di follow-up."

Passo 3: Determinazione del rischio di rilevamento accettabile

Dato che il rischio intrinseco è elevato e il rischio di controllo medio, si determina che il rischio di rilevamento accettabile deve essere basso. I test sui crediti devono essere ampi e approfonditi. Il revisore sceglie: - Test di dettaglio su un campione casuale di 40 fatture (su una popolazione di ~450 fatture emesse durante l'esercizio) - Analisi in dettaglio di ogni credito con scadenza oltre 90 giorni - Richiesta di conferme esterne per i tre principali committenti - Analisi degli incassi post-chiusura per i crediti ancora aperti alla data di bilancio

Nota di documentazione: nel piano di audit, il revisore documenta: "Ciclo Ricavi e Crediti. Rischio di rilevamento BASSO. In conseguenza di rischio intrinseco ELEVATO + rischio di controllo MEDIO, i test di dettaglio saranno ampi: campione 40 su 450 (8.9%), conferme esterne per 3 clienti principali, follow-up crediti oltre 90 giorni, incassi post-chiusura fino al 31 marzo 2025."

Complicazione: la ricalibrazione in corsa

A metà incarico, uno dei tre committenti pubblici (Comune di Treviso) annuncia ritardi nei pagamenti. Il rischio intrinseco passa da ELEVATO a CRITICO. Il revisore deve ricalibrare il modello in corsa? Sì, e deve documentarlo. Il rischio di rilevamento accettabile passa da BASSO a MOLTO BASSO, il che richiede di estendere il campione da 40 a 60 fatture, aggiungere procedure di analisi della recuperabilità credito per credito sul committente in difficoltà, e aggiornare la sezione sull'andamento della società. Nel fascicolo finisce un addendum al memorandum con data e firma. Senza questo, le carte erano leggere e CONSOB lo nota.

Conclusione

L'applicazione del modello porta a determinare che il ciclo ricavi richiede una profondità di test sostanziale. Senza questa applicazione consapevole, il revisore avrebbe potuto testare solo il 2-3% delle fatture, mancando completamente il rischio concentrato sui tre committenti pubblici. La documentazione del ragionamento protegge il fascicolo dai rilievi su procedure insufficienti.

Cosa i revisori e gli ispettori non colgono

- Tier 1 – Rilievo ispettivo: La CONSOB e i controlli MEF hanno segnalato in diverse delibere e rapporti di ispezione che molti fascicoli mostrano una valutazione formale del rischio intrinseco e del rischio di controllo, ma non documentano come questi rischi abbiano influenzato la progettazione e l'ampiezza delle procedure. Il collegamento tra valutazione del rischio e risposta attraverso il modello del rischio di rilevamento è spesso assente dalla documentazione di pianificazione: le carte erano leggere e ti tolgono il timbro.

- Tier 2 – Errore tecnico frequente: Si valuta il rischio intrinseco come "elevato" in pianificazione, e poi si procede con test che sarebbero appropriati per un rischio "medio" o "basso". L'ISA Italia 330.6 richiede che le procedure di revisione siano risposte proporzionate ai rischi identificati. Se il rischio intrinseco è elevato, i test devono essere estesi in ampiezza (campioni più grandi) o profondità (procedure più approfondite). Questa proporzionalità non è frequentemente visibile nei fascicoli.

- Tier 3 – Gap di pratica documentata: Molti team usano il modello del rischio di rilevamento implicitamente, scegliendo profondità di test che riflettono i rischi percepiti senza documentare esplicitamente come il modello sia stato applicato. Non scrivono "Dato rischio intrinseco ELEVATO e rischio di controllo MEDIO, il rischio di rilevamento accettabile è BASSO, quindi il campione è stato esteso al 10%" nel memorandum. L'assenza di questa logica esplicita è un gap.

- Incentivo perverso (e CONSOB lo cerca): gli studi sotto pressione di compensi irrisori hanno incentivo a fissare un rischio di rilevamento "medio" indipendentemente dalla combinazione di rischio intrinseco e di controllo. Risparmiare ore sui test è la via più rapida a un margine accettabile sull'incarico. I controlli MEF sanno questo schema, e nel fascicolo cercano proprio la coerenza tra valutazione del rischio iniziale, ricalibrazioni successive e ampiezza effettiva dei test eseguiti. Quando trovano un "medio" generalizzato che non si muove mai, leggono uno studio che sta tickando senza pensare, non un revisore che applica il modello.

Rischio di rilevamento vs. Risk of Material Misstatement (RMM)

Il rischio di rilevamento è cosa diversa dal rischio di errore significativo (RMM). L'RMM è la valutazione formale del rischio che un'asserzione contenga un errore significativo prima di considerare i controlli gestiti dalla direzione. È il risultato della combinazione del rischio intrinseco e del rischio di controllo. L'ISA Italia 315.27 richiede la valutazione dell'RMM a livello di asserzione.

Il rischio di rilevamento, invece, è il rischio che il revisore accetta in pianificazione riguardo alle proprie procedure di audit. Si determina come risposta all'RMM. Se l'RMM è elevato, il rischio di rilevamento accettabile sarà basso (test estesi). Se l'RMM è basso, il rischio di rilevamento accettabile sarà più alto (test meno estesi).

Un fascicolo potrebbe dichiarare correttamente "RMM elevato per la completezza dei ricavi" (ISA Italia 315.27) e poi non documentare come il rischio di rilevamento accettabile sia stato determinato di conseguenza, né come le procedure siano state calibrate per quel rischio di rilevamento. È qui che vive la zona grigia del modello, e qui che CONSOB scava.

Termini correlati

- Rischio intrinseco: la probabilità che un errore esista in un'asserzione, indipendentemente dai controlli. - Rischio di controllo: la probabilità che i controlli interni non rilevino un errore esistente. - Rischio di errore significativo: la combinazione del rischio intrinseco e del rischio di controllo. - Significatività: la soglia al di sotto della quale gli errori non sono considerati significativi. - Rischio di revisione accettabile: il livello massimo di rischio che il revisore è disposto ad accettare. - Procedure di revisione: i test specifici effettuati per rispondere ai rischi identificati.

---